Die mobile Herausforderung meistern Apple Devices im Unternehmenseinsatz Detlev Pö)gen midpoints GmbH about me Detlev Pöttgen Consultant Co-Founder & CEO Reach out any ,me Xing / Twi)er / LinkedIn => netzgoe)er Web h)p://www.netzgoe)er.de h)p://www.midpoints.de Mail detlev.poe)[email protected] about us midpoints GmbH IBM Advanced Business Partner IBM Design Partner (Notes Domino, Mobile, Verse) Apple Enterprise Developer & MDM Group Member Samsung Enterprise Alliance Partner Services -‐ Enterprise Mobility Services -‐ Mobile Device und ApplicaUon Management -‐ IBM Notes Traveler und IBM Mobile Connect Worum geht es? 1 2 3 MDM Grundlagen iOS 9 What‘s new VPP, DEP, Supervision So sieht‘s in der Praxis aus! Worum geht es? 1 2 3 MDM Grundlagen iOS 9 What‘s new VPP, DEP, Supervision So sieht‘s in der Praxis aus! Mobile Plattformen 4 PlaAormen /4 Hersteller / 4 Ansätze 4 Pla]ormen /4 Hersteller / 4 Ansätze 4 PlaAormen /4 Hersteller / 4 Ansätze 4 Hersteller 4 Ansätze zum Einsatz mobiler Geräte im Firmenumfeld 4 Pla]ormen /4 Hersteller / 4 Ansätze Bietet keine eigene MDM & MAM Lösung * Integrierte MDM Schni)stelle als iOS Bestandteil Offen für Dri)anbieter. Kein MDM Client notwendig. Highlights: • Device Enrollment Program (Out of the Box MDM) • Volume Purchase Program VPP für kostenpflichUge Apps • App Sandbox und geprüfe Apps via App Store • App ConfiguraUons & Feedback Service • Trennung Managed / Unmanaged • Ausgereifeste ApplikaUonspla]orm • Geschlossene Pla]orm * Apple Profile Manager als Bestandteil des OS X Servers außen vor gelassen 4 Pla]ormen /4 Hersteller / 4 Ansätze Zur Verwaltung von BlackBerry Devices wir ein Blackberry Enterprise Service (BES) benöUgt. MDM Schni)stelle integriert ins OS. Highlights: • Integrierte VPN Lösung • Trennung Privat / Geschäflich OS Bestandteil • Unterstützung für Android Apps • Sehr granulare Verwaltung der Blackberry Devices • MDM Unterstützung für iOS & Android & Win Phone • Container Apps für iOS & Android 4 Pla]ormen /4 Hersteller / 4 Ansätze Google bietet als Bestandteil des OS keine vollwerUge MDM Schni)stelle an. Lediglich der Device Manager ermöglicht eine rudimentäre Verwaltung (Passcode oder Wipe) Zur weiteren Verwaltung müssen Hersteller wie Samsung mit Knox eigene Erweiterungen vornehmen, um die Geräte darüber hinaus zu verwalten. Highlights: • Android for Work (seit Q1 2015 verfügbar) • Breite Geräteauswahl • Großes App Angebot • Offene Pla]orm • Verwaltung über Google for Work 4 Pla]ormen /4 Hersteller / 4 Ansätze Android for Work (ab v4 per App / ab v5L integriert) 4 Pla]ormen /4 Hersteller / 4 Ansätze Microsof bietet integriert ins OS eine SyncML basierte MDM Schni)stelle an, über welche Dri)anbieter ohne MDM Client das Gerät verwalten können. Highlights: • GünsUge Lumia Geräte • Geschlossenes System • Tiefe IntegraUon in MS Ökosystem • Windows 10 Update MDM Grundlagen Alle Hersteller verwenden das gleiche Grundprinzip: • Das Binden des Gerätes an ein MDM System wird auch Enrollment genannt. In der Regel erfolgt dies ZerUfikatsbasiert über das SCEP Protokoll • Das MDM-‐System hat keine permanente Verbindung zum Device. Sondern kann diese lediglich über die Hersteller Push Services kontakUeren. MDM Grundlagen Hersteller Push Service MDM Server MDM KommunikaUon Push KommunikaUon Gerät Worum geht es? 1 2 3 MDM Grundlagen iOS 9 What‘s new VPP, DEP, Supervision So sieht‘s in der Praxis aus! iOS 9 – What’s New -‐ Neuer Payload Netzwerknutzung -‐ Neue RestrikUonen -‐ Maildrop RestrikUon im E-‐Mail Payload -‐ Custom SSL Felder bei VPN -‐ AcUve Sync v16 Unterstützung -‐ Unterstützung von Anhängen und LokaUon bei Kalendereinträgen -‐ Sync von Entwürfen -‐ Freie Zeitsuche (Traveler: NTS_FREE_BUSY_SUPPORT=true) iOS 9 – What’s New -‐ Neuer Payload Netzwerknutzung iOS 9 – What’s New Neue Restrik,onen -‐ AirDrop unterbinden für verwaltete Anwendungen -‐ iCloud Photo Library verbieten -‐ Screenshots RestrikUon erweitert um Screen Capture Nur Supervision: -‐ AutomaUschen App Download für Käufe auf anderen Geräten unterbinden -‐ Keyboard Shortcuts erlauben -‐ Änderung des Gerätenamens erlauben -‐ Änderung des Passcodes erlauben -‐ Änderung des Hintergrundbildes verbieten -‐ News App erlauben -‐ Pairing mit einer Apple Watch verbieten -‐ Ausblenden des App Stores iOS 9 – What’s New App Management • Änderung Status Managed / Unmanaged einer App • Für verwaltete Apps pushen von App-‐Updates • App InstallaUon bei deakUviertem Apple App Store • Änderungen im Volume Purchase Program (VPP) iOS 9 – What’s New – VPP 3.0 Anforderung: Lösung: Zentraler Einkauf von Apps (kostenlos, wie kostenpflichUg) Apple Volume Purchase Program – kurz VPP iOS 9 – What’s New – VPP 3.0 Was muß ich tun, um VPP nutzen zu können? • Registrieren: h)ps://www.apple.com/de/business/vpp/ BenöUgt D.U.N.S Nummer (InternaUonales „Handelsregister“) • VPP Token: Im VPP Portal erzeugen und im MDM hinterlegen • Kaufen: Apps über das VPP-‐Kaufen und den Benutzern per MDM zuweisen iOS 9 – What’s New – VPP 3.0 Bisher zwei VPP „Varianten“ 1. VPP -‐ Freischaltcodes (xls-‐Liste) Feste einmalige Zuordnung zur Apple ID des Mitarbeiters Voucher für genau eine App Voucher kann auf beliebigen Device eingelöst werden Die App wird verschenkt! 2. VPP -‐ Managed Distribu,on (seit iOS 7) Unternehmen bleiben Eigentümer der App Lizenzen Die Lizenz wird einem Mitarbeiter zugewiesen Entziehung und Neuzuweisung der Lizenzen Voraussetzung: VPP-‐fähiges MDM iOS 9 – What’s New – VPP 3.0 Zwei „Varianten“ iOS 9 – What’s New – VPP 3.0 Mit iOS 9 dri)e VPP „Variante“ 3. VPP per Device Assignment Die Lizenz wird nicht mehr einem Benutzer, sondern genau einem Gerät zugewiesen. Vorteil: VPP-‐per-‐Device Apps können bereits ohne auf dem Gerät hinterlegte Apple ID installiert werden iOS 9 – What’s New – VPP 3.0 • Unterschied Benutzer zu Gerätezuweisung VPP per Device VPP per User -‐-‐-‐-‐-‐-‐ Apple ID erforderlich -‐-‐-‐-‐-‐-‐ VPP Einladung Lizenz ist Gerät zugeordnet Lizenz ist User (Apple-‐ID) zugeordnet Ggfs. höhere Lizenzkosten Nutzbar auch auf „Zweit“-‐Geräten App ist nicht in Purchase History In Purchase History angezeigt Keine Update Info via Apple App Store App Update über App Store iOS 9 – What’s New – VPP 3.0 Worum geht es? 1 2 3 MDM Grundlagen iOS 9 What‘s new VPP, DEP, Supervision So sieht‘s in der Praxis aus! DEP, VPP, Supervision - Praxis Die Sicht aus Cupertino Für Apple ist die User-‐Experience sehr wichUg. Soll das Gerät durch die IT verwaltet werden, stellt Apple die integrierte MDM-‐Schni)stelle zur Verfügung. Hierbei soll der Benutzer aber über ein MDM nicht grundlegend beschni)en werden. Apple sieht hier insbesondere bei BYOD die Hoheit über das Gerät immer noch beim Benutzer. Bei reinen Firmengeräten ermöglicht Apple als Ergänzung zu einem MDM den sogenannten Supervisions-‐Modus an. Geräte im Supervisions-‐Modus können erweitert verwaltet werden. Die Sicht aus Cupertino Apple empfiehlt Kein Supervision Supervision == BYOD == Firmengeräte Supervision ermöglicht ... 30 zusätzliche Restrik,onen iMessage erlauben? Manuelle Geräte-‐Löschung erlauben? Nachschlagen-‐Funk,on erlauben? Filter für unangebrachte Wörter ak,vieren Ändern der Touch ID-‐Fingerabdrücke erlauben? Internet-‐Such-‐Resultate in Spotlight erlauben? Benutzer-‐generierte Inhalte erlauben? Endernen von Apps erlauben? Änderungen an FindMyFriends erlauben? AirDrop erlauben? Installa,ons-‐Dialog erlauben? Apple Watch Pairing erlauben? Mobilfunk-‐Verbindung für Apps erlauben? News-‐App erlauben? Ändern des Gerätenames erlauben? App-‐IDs, welche den Kiosk-‐Modus autonom aufrufen dürfen? Vorschläge bei Texteingabe erlauben? Ändern des Hintergrundbildes zulassen? Automa,sche App-‐Downloads erlauben? Automa,sche Korrektur erlauben? Manuelle Installa,on von Profilen erlauben? InHouse Apps manuell vertrauen? Rechtschreibprüfung erlauben? Konto-‐Modifika,onen erlauben? GameCenter zulassen? Nachschlagen erlauben? Konfigura,on von Einschränkungen erlauben? iBookstore erlauben? Keyboard Shortcuts erlauben? Ändern des Passcode erlauben? Supervision ermöglicht ... • App ohne BenutzerinterakUon (de-‐)installieren • Die Festlegung eines globalen HTTP Proxys für die Geräte • App Lock / Kiosk Modus • ein WhitelisUng von AirPlay Geräten • WebContentFilter (Spam-‐Blocker) einzubinden Ankündigung mit iOS 9 Folgende Einschränkungen / Verbote werden demnächst nur noch mit Supervision genutzt werden können. (Gelten jetzt schon als nur noch in Supervision zu verwenden = deprecated) • • • • • • FaceTime verbieten Safari verbieten iTunes verbieten Jugendschutz einschränken iCloud Dokumente-‐ und DatensynchronisaUon einschränken MulUplayer Gaming und GameCenter Freunde verbieten Supervision - bisher • Bisher nur über Apple Configurator per USB –Verbindung auf Gerät setzbar. (Configurator gibt es nur für den Mac) • Keine Übernahme von Bestandsdaten auf dem Gerät Problem der Unternehmen „Alle Geräte vor Auslieferung an den Mac hängen? Vorbereiten mit dem Apple Configurator?“ PrakUsch logisUsche Herausforderung: -‐ Geräte und Mac mit Configurator nicht an einem Ort -‐ Geräte hin-‐ und herschicken -‐ Das Gerät wird bei der Verbindung zum Configurator zurückgesetzt -‐ (ZerUfikatske)e der) Supervision Hosts sichern Device Enrollment Program - DEP h)p://www.apple.com/de/business/programs/ Device Enrollment Program - DEP • Bereitstellungsprogramm von Apple für Unternehmenskunden. • Ermöglicht Geräte drahtlos direkt nach dem Öffnen der Originalverpackung beim Erststart des Devices in Ihr MDM zu enrollen und Profile aufzubringen. • In Verbindung mit VPP-‐per-‐Device ist die Bereitstellung von ApplikaUonen ohne Kenntnis der Apple ID & Passwort möglich. • (Fast) alle Setup-‐Schri)e können übersprungen werden. Verfügbarkeit DEP Device Enrollment Program - DEP Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen Geräte kaufen – Aber, wo? Gerätekauf über: • Apple direkt beziehen • ZerUfizierten DEP Apple Händler, der im DEP Portal zu hinterlegen ist • Ab Dezember bei Telekom verfügbar Der Händler hat von Apple eine DEP-‐Reseller-‐ID erhalten, diese muß er Ihnen mi)eilen. Device Enrollment Program - DEP Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen DEP-Account erstellen h)ps://deploy.apple.com DEP-Account erstellen DEP – benötigt dedizierte Apple ID mit Zwei-Faktor-Authentifizierung DEP-Account erstellen • Die DEP Reseller ID muss beim Händler erfragt werden. • Wenn ein Händler dies nicht hat, so können auch bereits gekaufe Geräte nicht nachträglich aufgenommen werden. • En}ällt, wenn Geräte über Apple bezogen werden, sta)dessen Apple Kunden-‐Nr. angeben. DEP-Account erstellen DEP-Account erstellen Validierungsanruf von Apple innerhalb von 24h -‐ Überprüfung der Kontaktdaten -‐ Hinweis das ein MDM benöUgt wird -‐ Zwei-‐Faktor-‐AuthenUfizierung für verwendete Apple-‐ID DEP-Account erstellen • Nach erfolgter Registrierung erhält man eine DEP-‐Customer-‐ID • Die DEP-‐Customer-‐ID wird meinem DEP-‐Händler mitgeteilt 4711 Device Enrollment Program - DEP Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen Device Enrollment Program - DEP Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen Zuordnung MDM Server – DEP Portal Zuordnung MDM Server – DEP Portal Zuordnung MDM Server – DEP Portal Device Enrollment Program - DEP Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte kaufen & Zuweisung im DEP Portal Geräte kaufen & Zuweisung • Unbedingt Angabe der DEP-‐Customer-‐ID beim Gerätekauf • Nachricht von Apple nach ca. 1 -‐ 7 Tagen • Erst nach erhalt der Mail ist das Device im DEP-‐Portal sichtbar. Geräte kaufen & Zuweisung Geräte kaufen & Zuweisung Geräte kaufen & Zuweisung Demo: DEP Enrollment DEP Settings im MDM Gerät nach DEP Enrollment 1. Das Gerät hat ein (nicht) en}ernbares MDM Profil 2. Das Gerät befindet sich in Supervision 3. Einrichtungsprofile mit – Sicherheit / Passcode – AcUveSync Mailzugang per zerUfikatsbasierter Auth. – WiFi / VPN Zugang usw. 4. Kostenfreie / kostenpflichte Apps über VPP-‐per-‐Device bezogen (ohne hinterlegte Apple ID) 5. Der nächste iOS Update kann vom Administrator veranlasst werden. (Neues iOS 9 Feature für DEP-‐Geräte) 6. VPP-‐per-‐Device App können vom Admin upgedated werden. Was mit DEP, Supervision und VPP möglich ist • Zustand: – Nutzer hat sich eine „verbotene“ App installiert auf seinem Firmengerät installiert. (WhatsApp, Dropbox ...) • Maßnahme: – Man wandelt die unmanaged App in eine managed App – Man bindet die managed App an die Geräte ID – Man en}ernt die App per Zuweisungsentzug Die richtige Strategie • DEP, wenn es der Reseller anbietet • Reseller in Zukunf auch nach diesem Kriterium auswählen (@Einkauf) • Wenn kein DEP, dann Supervision mit Apple Configurator, wenn organisatorisch machbar • VPP-‐per-‐Device App Deployment auch für kostenfreie Apps, da Deployment ohne Apple ID möglich • Datenabfluss-‐Risiko minimieren – Privat / Business == Unmanaged / Managed – Erweiterte Supervision Möglichkeiten • Unmanaged Apps ohne Datenverlust in managed Apps wandeln und so verwaltbar machen Vielen Dank! detlev.poe)[email protected] h)p://www.midpoints.de
© Copyright 2024 ExpyDoc
